如何从pfx / cer创建snk？

关于您提到的文件类型的澄清：

• .cer文件是X.509证书。
• .pfx文件是使用基于密码的对称密钥加密的X.509证书，也可以参见PKCS＃12（维基百科）。
• .snk文件仅包含RSA密钥（公钥/私钥或仅公钥）。

无论您使用.pfx文件还是.snk文件对程序集进行签名，它都将得到强名称。 使用加密证书（.pfx）存储RSA密钥当然比仅存储未加密密钥（.snk）更安全。

您可以使用类System.Security.Cryptography.X509Certificates.X509Certificate2在代码中轻松从这些文件中提取密钥。

从.pfx文件中提取密钥：

/// <summary>
/// Converts .pfx file to .snk file.
/// </summary>
/// <param name="pfxData">.pfx file data.</param>
/// <param name="pfxPassword">.pfx file password.</param>
/// <returns>.snk file data.</returns>
public static byte[] Pfx2Snk(byte[] pfxData, string pfxPassword)
{
    // load .pfx
    var cert = new X509Certificate2(pfxData, pfxPassword, X509KeyStorageFlags.Exportable);

    // create .snk
    var privateKey = (RSACryptoServiceProvider)cert.PrivateKey;
    return privateKey.ExportCspBlob(true);
}

使用 privateKey.ExportCspBlob(false) 提取公钥! （例如用于程序集的延迟签名）

从 pfx 文件中仅生成公钥的 snk 文件：

sn -p keypair.pfx key.snk

我一直喜欢使用snk文件而不是.pfx文件，因为它们似乎更少出错。

这里是同样由@Sir Kill A Lot 在他的答案中提供的方法，但已转换为PowerShell脚本(pfx2snk.ps1)。

Param(
    [Parameter(Mandatory=$True,Position=1)]
    [string] $pfxFilePath,
    [string] $pfxPassword
)

# The path to the snk file we're creating
[string] $snkFilePath = [IO.Path]::GetFileNameWithoutExtension($pfxFilePath) + ".snk";

# Read in the bytes of the pfx file
[byte[]] $pfxBytes = Get-Content $pfxFilePath -Encoding Byte;

# Get a cert object from the pfx bytes with the private key marked as exportable
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(
    $pfxBytes,
    $pfxPassword,
    [Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable);

# Export a CSP blob from the cert (which is the same format as an SNK file)
[byte[]] $snkBytes = ([Security.Cryptography.RSACryptoServiceProvider]$cert.PrivateKey).ExportCspBlob($true);

# Write the CSP blob/SNK bytes to the snk file
[IO.File]::WriteAllBytes($snkFilePath, $snkBytes);

只需运行该脚本，提供pfx文件路径和密码即可，在与pfx文件相同的目录下生成一个snk文件（其名称与扩展名不同）。

powershell.exe -File pfx2snk.ps1 -pfxFilePath cert.pfx -pfxPassword "pfx password"

或者，如果您的PFX没有密码（真是太丢人了）：

powershell.exe -File pfx2snk.ps1 cert.pfx

如果你不幸在一个不允许执行PowerShell脚本的环境中工作（即只允许交互式PowerShell会话），那么你可以从标准的cmd.exe命令行中执行这个丑陋的单行命令（根据需要替换文件路径和pfx密码）。

powershell.exe -Command "[IO.File]::WriteAllBytes('SnkFilePath.snk', ([Security.Cryptography.RSACryptoServiceProvider](New-Object System.Security.Cryptography.X509Certificates.X509Certificate2((Get-Content 'PfxFilePath.pfx' -Encoding Byte), 'PfxPassword', [Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)).PrivateKey).ExportCspBlob($true));"

实际上，我将这个一行代码作为我的 Visual Studio 预构建过程的标准部分，以自动化使用我们的 Authenticode 签名证书（pfx 文件）中相同的密钥进行强名称签名的过程。这并非必需，但在我看来似乎是有道理的，而且符合我的强迫症倾向。

（我使用 snk 文件而不是原始的 pfx，因为我曾经遇到使用 pfx 文件进行强名称签名的“错误”体验，就像 @punkcoder 在他的回答中提到的一样）

如果你感兴趣的话，我有类似下面的东西作为我的 Visual Studio 后构建过程的一部分，以添加 Authenticode 签名到项目输出中（至少是在“Release”项目配置中）。

powershell.exe -Command "Set-AuthenticodeSignature -FilePath '$(TargetPath)' -Certificate '$(SolutionDir)MyCert.pfx' -TimestampServer http://timestamp.verisign.com/scripts/timstamp.dll -HashAlgorithm sha256;"